رطق يف ينوركلإا قيثوا راطإ - q-cert...رطق يف ينورتكللإا...
TRANSCRIPT
إطار التوثيق اإللكتروني في قطر
1.2اإلصدار: وزارة المواصالت واالتصاالت –قسم ضمان امن المعلومات المؤلف:
تصنيف الوثيقة: عام 2018 يونيوتاريخ النشر:
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
تاريخ الوثيقة: التاريخ وصف االصدار االصدار
2014مايو نشر النسخة االولى 1.0
2016 مارس عالمات المؤسسية تعديل ال 1.1
2018 يونيو تغيير شعار الوزارة 1.2
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
توياتالمح 4 .......................................................................................................................... التعريفات
5 ............................................................................................................. القانوني التكليف -1 5 .......................................................................................................................... مقدمة-2 6 ................................................................................................................ والتطبيق النطاق-3
6 ...................................................................................................................... النطاق 3-1
6 ......................................................................................... اإللكتروني التوثيق إلطار الحاجة 3-2
6 ...................................................................................................... والمسؤوليات األدوار 3-3
7 ............................................................................................ السياسة مقترحات أو مواد أو أحكام -4 7 ................................................................................................... اإللكتروني التوثيق إطار 4-1
7 .................................................................................................... األعمال متطلبات تحديد 4-2
8 .............................................................................................. التوكيد مستويات شرط تحديد 4-3
10 ................................................................... االعتماد إدارة ونظام اإللكتروني التوثيق آلية تحديد 4-4
11 ..................................................................................................... التسجيل شرط تحديد 4-5
12 ...................................................................................................... التوثيق حل مراجعة 4-6
12 .................................................................................................................. التوصيات -5
13 ............................................................................................................................ المالحق
13 ........................................................................................ اإللكتروني التوثيق نموذج (أ) الملحق
16 ................................................................... اإللكتروني التوثيق لرمز المختلفة األنواع (ب) الملحق
18 ................................................................................................... المخاطر إدارة (ج) الملحق
23 .................................................................................................. القانوني اإلطار (د) الملحق
24 ................................................................................. للهوية الموحدة للمطابقة حالة (ه) الملحق
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
التعريفات
أية جهة حكومية أو شبه حكومية، أو جهة مشمولة ضمن نطاق الوثيقة. جهة حكومية
(SP)مزودو الخدمة
يقصد بمزود الخدمة مزود خدمات االتصال بشبكة اإلنترنت للمستخدمين. لتوثيق المستخدمين قبل تزويدهم بالخدمة. AOsويعتمد مزودو الخدمة على
". Relying Partiesكما يشار إلى مزودي الخدمة باسم " المستخدمون
ة اإلنترنت مثل المستخدمون هم األطراف المشتركون في خدمات االتصال بشبك
هم من يبدأ حيث أن المستخدمين وكيانات األعمال. ينمالمواطنين والمقي الطالب"خدمة/ عملية االتصال بشبكة اإلنترنت، فإنهم يعرفون أيضًا باسم "
أثناء عملية التوثيق ألن المستخدم يقدم طلبًا بشأن هويته.
تسجيل المستخدم
يعرف تسجيل المستخدم بالعمليات التي يشتمل عليها اإلنشاء األولي لهوية عمليات أو (EOI)دليل الهوية ويشمل ذلك عمليات .ما الكترونية لمستخدم
.(EOR)دليل العالقة إصدار وإدارة الرمز
الرمز عبارة عن شيء يمتلكه الطالب ويتحكم فيه، ويستخدم لتوثيق هوية
ويقدم الرمز إلى المستخدم لعمليات التوثيق الالحقة على شبكة الطالب.وتعتبر الجهة المصدرة هي المسؤولة عن وال يعتبر الرمز ثابتًا، اإلنترنت.
ضمان صالحية الرمز طوال دورة حياته، وكذلك عن أية إجراءات تحديد الحقة مطلوبة في حالة حدوث خلل وظيفي.
إدراج المستخدم
يشير إدراج المستخدم إلى عملية ربط اعتماد توثيق الكتروني بمثال معروف المعلومات )مثل شبكة أو موقع لمستخدم ضمن سياق أحد موارد تكنولوجيا
الكتروني أو نظام طلبات( بهدف إتاحة وصول المستخدم. التحقق من االعتماد
يقصد بالتحقق من االعتماد التحقق من أي رمز مدرج، وهو ما يتم قبل السماح
إلى ", ويشمل ذلك إصدار مؤشر هوية إيجابي، ُيعرف باسم "التأكيد بالعملية. .قام بطلب العملية مزود الخدمة الذي
فالرمز كان ويستخدم مصطلح "االعتماد" في هذا السياق مقابل كلمة الرمز:وتعد المصادقة ضمنية هنا، سيتم إدراجه وربطه بمعرف قبل الحاجة للتحقق.
وهو ما يشير إلى التأكد من حالة االعتماد وقت التحقق.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
التكليف القانوني -1
د القرار األميري رقم يها فيما التفويض القانوني لوزارة المواصالت واالتصاالت )والتي ُيشار إل 2016( لعام 8)يحد ِّصاالت )والتي يلي باسم "الوزارة"(، ويمنحها صالحية اإلشراف وتنظيم وتطوير قطاعات المعلومات وتكنولوجيا االت
نية، وبهدف لبات أهداف التنمية الوطُيشار إليها فيما يلي "قطاع المعلومات"( في دولة قطر، بما يتماشى مع متطاظ على أمن ورفع كفاءة إنشاء بيئة مالئمة للتنافس الشريف ودعم التنمية وتحفيز االستثمار في تلك القطَّاعات؛ والحف
زيز الوعي المجتمعي البنى التحتية لتكنولوجيا المعلومات؛ وتنفيذ برامج الحكومة اإللكترونية واإلشراف عليها؛ وتع.تصاد رقمياالتصاالت وتكنولوجيا المعلومات لتحسين حياة األفراد والمجتمع، وبناء مجتمع معرفي واق بأهمية
ت المادة ) على دور الوزارة في حماية أمن البنية التحتية للمعلومات 8/2016( من القرار األميري رقم 22وقد نصَّ
.وضمان االلتزام بها الحساسة الوطنية من خالل اقتراح وإصدار السياسات والمعايير
وقد تم إعداد وثيقة السياسة هذه بعد األخذ بعين االعتبار للقوانين النافذة في الوقت الراهن في دولة قطر. وفي حال ظهور تعارض بين هذه الوثيقة وقوانين دولة قطر، يؤخذ بقوانين دولة قطر. وأي بند يتضمن مثل ذلك التعارض، يتم
هذه إلى المدى الذي يزيل ذلك التعارض، وتبقى بقية الوثيقة دون تأثير على بقية األحكام. حذفه من وثيقة السياسة وتكون التعديالت في تلك الحالة مطلوبة لضمان االلتزام بالقوانين ذات الصلة المعمول بها في دولة قطر.
مقدمة -2
للتأكيدات بأن مستخدم ما هو من يزعم لتوثيق اإللكتروني عبارة عن عملية تحديد درجة الثقة التي يمكن أن ُتمنحا وتشمل التأكيدات الهوية والدور والتفويض والقيمة. أنه هو، أو أن هوية ما هي ما تعلن أنها هي.
وتتم العمليات في المقام األول بتأكيدات التوثيق اإللكتروني. (QeAF)ويعنى إطار التوثيق اإللكتروني في قطر من القنوات التي تشمل:اإللكترونية من خالل عدد
شبكة اإلنترنت الرد الصوتي التفاعلي( الهاتفIVR) رسائل الفاكس
وكنماذج التوثيق األخرى، يعتمد التوثيق اإللكتروني على واحد أو أكثر مما يلي: شيء ما يعرفه المستخدم )مثل كلمة مرور، أسئلة وإجابات سرية(، أو ي(، أوشيء ما يمتلكه المستخدم )مثل رمز سر )شيء ما ضمن خصائص المستخدم )مثل المواصفات الشخصية
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
ويجب أن يحقق األسلوب المختار التوازن بين متطلبات سهولة االستخدام )سهولة االستخدام من جانب المستخدم النهائي وعامل التكلفة( ومستوى مقبول من المخاطر.
دقة، أكثر قوة قادرة على مطابقة الهوية الرقمية للمستخدم بوتتطلب التطبيقات ونظم المعلومات الحيوية نماذج توثيق المخاطر. ةضفوذلك مقارنة بالتطبيقات منخ
النطاق والتطبيق -3
النطاق 3-1
نطبق نطاق إطار التوثيق اإللكتروني في قطر على ما يلي:ي جميع الجهات الحكومية وشبه الحكومية جميع أجهزة القطاعات الحيوية الخاصة المؤسسة أو التي تعمل في قطر.منشآت األعمال
كما يمكنها أيضًا أن تستخدم ويجب أن تستخدم كل جهة هذا اإلطار لتقييم وسائل التوثيق اإللكتروني القائمة لديها. هذا اإلطار كدليل عند وضع ضوابط جديدة للتوثيق اإللكتروني.
الحاجة إلطار التوثيق اإللكتروني 3-2
قق في مجال التكنولوجيا وزيادة توفر الخدمات اإللكترونية على شبكة اإلنترنت، يظهر مع التقدم الذي يتحو كما تدرك كيانات األعمال أيضًا المواطنون والمقيمون في قطر تفضياًل واضحًا لتنفيذ معامالتهم على شبكة اإلنترنت.
فوائد توسيع أفق انتشارها إلى ما وراء الوسائل التقليدية للعمليات.ف توفير الخدمات اإللكترونية على شبكة اإلنترنت إلى تبسيط التفاعل والعمليات للمواطنين والمقيمين وكيانات ويهد
األعمال للتفاعل مع الحكومة من منازلهم ومكاتبهم بما يضمن لهم الراحة.ديم توكيد معلوماتي ومع ذلك، فإن هذه الراحة ترتبط بمخاطر التأكد من الهوية اإللكترونية للشخص أو المنشأة لتق
للعملية المعنية.ويرمي إطار التوثيق اإللكتروني في قطر إلى ضمان إقرار أسلوب استراتيجي من جانب الجهات المشاركة لتوكيد
ويدعم اإلطار أسلوبًا يعتمد على المخاطر، محققًا التوازن بين أهداف األعمال التحقق من الهوية اإللكترونية. والمخاطر.
األدوار والمسؤوليات 3-3
ن مفتاح الوصول إلى حل ناجح للتوثيق اإللكتروني ال يتمثل في التكنولوجيا، بل في العمليات واإلجراءات المساندة، إ ودعم اإلدارة، واإلدارة الفاعلة لإلشكاليات الثقافية التي تنشأ عن التغيير.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
أدوار ومسؤوليات أجهزة الدولة:
األفراد والشركاتدراسة حاجات وتطلعات نشر التوعية بين المستخدمين توفير خدمات آمنة وموثوقة .االلتزام بالسياسات والقواعد واللوائح الضرورية .معالجة البيانات الشخصية وفقًا ألخالقيات العمل والقوانين ذات الصلة
أدوار ومسؤوليات المستخدم: العالقةتقديم إثبات دقيق للهوية أو دليل على معلومات. .ضمان أمن االعتمادات الصادرة استخدام االعتماد في الغرض المصدر له فحسب ووفقًا لإلرشادات الصادرة.
أحكام أو مواد أو مقترحات السياسة -4
إطار التوثيق اإللكتروني 4-1
رموز التوثيق المتاحة قدم إطار التوثيق اإللكتروني في قطر إرشادًا بشأن النماذج المختلفة للتوثيق، ومختلف أنواع ي ونقاط قوتها وضعفها، كما أنه يعرف المخاطر ذات الصلة في الحد من التهديدات المتعلقة بالهوية.
وسوف يقدم ذلك .مؤسسةالويدعم هذا اإلطار الخطوات المتكررة التالية كجزء من العملية العامة إلدارة المخاطر في ود بمستويات التوكيد المرغوبة الالزمة للوصول إلى المعلومات التي يتيح إرشادًا بشأن اختيار نظام توثيق مناسب مز
الوصول إليها. تحديد متطلبات األعمال 4-2
ذه هي الخطوة األولى، كما أنها تعد جزًء من تعريف المتطلبات/ مرحلة التجميع.ه اإللكتروني:فيما يلي بعض المتطلبات الرئيسية لألعمال والتي ستحكم اختيار حل التوثيق
ما هي الخدمات/ المعلومات التي يتم الوصول إليها؟ تصنيف المعلومات: -1حدد المستخدم المستهدف )هل هو فرد أم فرد يتصرف نيابةً عن جهة؟( ومستوى مجتمع المستخدم: -2
المهارات التي يمتلكها المستخدم. ما هي قنوات التسليم اإللكتروني المتاحة/ التي سيتم استخدامها؟ -3هذا من ناحية المعلومات الشخصية التي يتم إتاحة الوصول إليها وكذلك مخاوف/ آثار الخصوصية؟ -4
استخدام الرموز الشخصية )البيانات الشخصية( في آلية التوثيق.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
االلتزامات القانونية والتنظيمية. -5 أية متطلبات أخرى مثل اكتمال البيانات وسريتها وعدم إنكارها. -6
جراء تحليل مخاطر يشمل مجموعة متنوعة من السيناريوهات المحتملة لتحديد التهديدات الممكنة بإ األجهزةوتلتزم فقد تنشأ التهديدات المحتملة من أعطال فنية أو من أطراف أخرى خبيثة أو لتعطل العمليات أو المرتبطة بالعملية.
لخطأ بشري، على سبيل المثال ال الحصر.
إرشادي للتأكيدات التي يمكن استخدامها لتصنيف مختلف عمليات األعمال.ويوضح الجدول التالي مستوى
الحد األدنى من غياب التأكيد التأكيد
تأكيد مرتفع تأكيد متوسط تأكيد منخفض
4المستوى 3المستوى 2المستوى 1المستوى 0المستوى ال يشترط الثقة
في تأكيد الهوية.يشترط توفر الحد
في األدنى من الثقة تأكيد الهوية.
يشترط مستوى منخفض من الثقة
في تأكيد الهوية.
يشترط مستوى متوسط من الثقة في تأكيد
الهوية.
يشترط مستوى مرتفع من الثقة في تأكيد
الهوية.البيانات المتاحة
بشكل عامالبيانات المعلومات العامة
الشخصيةمعلومات حساسة/ عمليات مالية/ حكومية
سرية على بيانات مستوى الدولة
مستويات التوكيد :1جدول
وتشمل العوامل الرئيسية التي ستشكل متطلبات مستوى التوكيد على سبيل المثال البيانات أو المعلومات التي يجري معالجتها/ التعامل عليها، ومستوى الثقة أو األمانة الالزم للتنفيذ.
مستويات التوكيدشرط تحديد 4-3
مستوى التوكيد الحد األدنى من قوة التوثيق )الثقة( التي تتيحها عملية التوثيق )تماشيًا مع متطلبات األعمال مثل يوالقيمة الممكنة للمعلومة أو العملية( للتخفيف من األثر المحتمل في حالة تمكن مهاجم من االستيالء على وصول
مستخدم شرعي.اج أجهزة الدولة إلى دراسة قوة المكونات التي تشكل حل التوثيق جنبًا إلى ولتحديد مستويات التوكيد المطلوبة، تحت
جنب مع التهديدات المرتبطة بها وإدارة المخاطر بشكل عام للتخفيف من تلك المخاطر أو تقليلها إلى مستوياتها الدنيا.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
ويعتبر مستوى التوكيد المطلوب وظيفة لما يلي:
قوة آلية التوثيق -1 الجهة قوة تسجيل هوية -2
ويساعد الجدول التالي في حساب مستوى التوكيد المطلوب.
قوة تسجيل هوية الجهة(1-4)
(4مرتفعة ) (3متوسطة ) (2منخفضة ) (1الحد األدنى ) مرتفعة (3متوسطة ) (3متوسطة ) (2منخفضة ) (1الحد األدنى ) متوسطة (2) منخفضة (2منخفضة ) (2منخفضة ) (1الحد األدنى ) منخفضةالحد األدنى
(1الحد األدنى ) (1الحد األدنى ) (1الحد األدنى ) (1الحد األدنى )
مرتفعة متوسطة منخفضة الحد األدنى (4-1قوة آلية التوثيق )
مستوى التوكيد، وظيفة عملية تسجيل الهوية وآلية التوثيق :2جدول
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
االعتماد تحديد آلية التوثيق اإللكتروني ونظام إدارة 4-4
عتمد قوة أو مستوى توكيد أي حل خاص من حلول التوثيق اإللكتروني على ما يلي:ت قوة عملية التسجيل -1 قوة آلية التوثيق اإللكتروني التي تعتمد بدورها على: -2
قوة رمز االعتماد -أ قوة استخدام إدارة االعتماد -ب
المستخدم أو المشترك ويشمل واحد أو أكثر من ويعرف رمز التوثيق أو االعتماد بأنه شيء ملموس يخضع لتحكم الخصائص التالية:
شيء ما يعرفه المستخدم/ المشترك شيء ما يمتلكه المستخدم/ المشترك أحد صفات المستخدم/ المشترك
العوامل.كما تعرف هذه الخصائص أيضًا بمصطلح مز وتوزيعه على المشترك/ المستخدم، وتنشيطه وتشمل عملية اإلدارة العملية التي ينطوي عليها إنشاء االعتماد/ الر
واستخدامه ضمن بروتوكول توثيق أوسع نطاقًا يؤسس بين المشترك وموثق هوية المستخدم.ويجب أخذ وتعتمد القوة الفعالة آللية التوثيق على القوة الفعالة لرمز االعتماد وعمليات اإلدارة التي تبنى حوله.
عند اختيار رمز االعتماد وأثناء بناء عملية اإلدارة حوله. العوامل التالية في االعتبار رموز االعتماد
أمثلة الرموز: -1 مثل كلمات المرور أو رمز بيانات شخصية أو بطاقة دخول... الخ وحيدعامل -أ
(PIN)عدة عوامل )مزيج من رمزين أو أكثر( مثل البطاقات الذكية المحمية برقم سري شخصي -ب وبطاقة دخول مع رمز بيانات شخصية...الخ
قوة رمز بعينه بالنسبة لمستوى التوكيد المطلوب. -2 سهولة استخدام االعتماد بالنسبة لمجموعة العمالء المعنية. -3 قابلية الحل للترقية. -4 االعتمادات القائمة التي يمكن أن تستخدم -5 القدرة على تلبية المتطلبات اإلضافية مثل عدم اإلنكار. -6
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
عملية اإلدارةمن الممكن أن يؤثر سلوك حامل االعتماد بشكل سيء على قوة التوكيد المقدم من االعتماد نفسه وكذلك .1
يجب إجراء فحص نافي للجهالة لضمان أخذ تلك التهديدات في الحسبان عند اتخاذ أية على عملية اإلدارة. قرارات تتعلق باختيار آلية التوثيق.
عية الكافية للمستخدمين النهائيين للتخفيف من مخاطر االستخدام االحتيالي.تقديم التدريب والتو .2 فيما يلي جدول يوضح قوة آلية التوثيق.
قوة االعتماد(1-4)
(4مرتفعة ) (4مرتفعة ) (3متوسطة ) (2منخفضة ) مرتفعة (4مرتفعة ) (3متوسطة ) (3متوسطة ) (2منخفضة ) متوسطة (3متوسطة ) (3متوسطة ) (2منخفضة ) (2منخفضة ) منخفضة
(2منخفضة ) (2منخفضة ) (2منخفضة ) (1الحد األدنى ) الحد األدنى مرتفعة متوسطة منخفضة الحد األدنى
(4-1قوة إدارة االعتماد)
قوة آليات التوثيق :3جدول
تحديد شرط التسجيل 4-5
غيرها من الخصائص تصل إلى مستوى توكيد مفهوم* قبل إنشاء تضمن التسجيل التحقق من أن هوية المشترك أو ي اعتماد توثيق إلكتروني.
منها ما يلي: وثمة عدد من العوامل التي تؤثر على متطلبات التسجيل. طبيعة التوكيد المطلوب توثيقه .1 مستوى التوكيد المطلوب .2في هذه الحالة يجب أن تؤخذ الدولة.ب مؤسسة اخرى ما إذا كان المستخدم قد صدر له اعتماد من قبل .3
عوامل إضافية في االعتبار مثل: المؤسسة.لك تعملية التسجيل المستخدمة من قبل -أ
.مؤسسةلك التستخدمها تإدارة دورة حياة االعتماد التي عملية -ب السياسات والتشريعات التي تؤثر على العملية ككل. .4
ومنها ما يلي: قه.ويعتمد أسلوب التسجيل على طبيعة التوكيد المطلوب توثي تسجيل أفراد )بأنفسهم( -1
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
تسجيل أفراد كممثلين لشركات -2 فيما يلي أكثر األساليب شيوعًا:
يتطلب إثبات الهوية عرض األفراد لوثائق سبق اعتمادها والتحقق منها وذلك من أجل التحقق :(EoI) إثبات الهوية
صادرة من جهات قانونية، أو وثائق جنسية أو جوازات سفر وتشمل تلك الوثائق شهادات ميالد من ادعائهم هوية ما. أو طرق تحقق مادية من قبل الجهات القانونية..الخ
.* يشير مستوى التوكيد هنا إلى الثقة التي تقدمها عملية التسجيل
فراد بإثبات يشار إلى إثبات العالقة باسم آخر "عميل معروف"، ويتطلب هذا اإلثبات قيام اال (:EoRإثبات العالقة )وبصفة عامة، فإن نشأة العالقة األصلية ستكون قد .ةالمعني يةالحكوم المؤسسةوجود عالقة قائمة بينهم وبين
وقد يشمل إثبات العالقة تقديم مستندات مثل تصاريح إقامة أو رخص قيادة...الخ اشتملت على عملية إثبات الهوية.
مراجعة حل التوثيق 4-6
الجهة على مستوى التوكيد المطلوب، وتحديدها للمكونات الضرورية لتحقيق مستوى التوكيد المطلوب، مجرد موافقة ب يتعين تحديد وإقرار حل فني مناسب.
ومع ذلك، فإن التكنولوجيا تعد عاماًل مهمًا وال تقع االعتبارات المتعلقة باختيار التكنولوجيا ضمن نطاق هذه الوثيقة.حل فحص نافي للجهالة للتأكد من اختيار التصميم/ الطراز الصحيح )كحل مستقل مثاًل، أو في الحل، ويجب إجراء )موحد( أو حاًل مركزيًا للتوثيق اإللكتروني( والتكنولوجيا المناسبة إلكمال حل التوثيق تسجيل دخول أحادي
اإللكتروني.
ن أن النظام يحقق مستوى التوكيد المطلوب ويلبي كما يجب إجراء إعادة المصادقة النهائية بعد تنفيذ الحل للتأكد م المتطلبات األمنية الالزمة.
للتأكد من استمرار تلبيته لمتطلبات توثيق الهوية الدولة بإعادة تقييم الحل على فترات دوريةب ةالمعني مؤسسةقوم التو أو أهداف األعمال.على نحو مالئم نتيجة لتغيرات التكنولوجيا أو التغيرات التي تطرأ على عمليات
التوصيات -5
جب أن تعمل خدمات إدارة الهوية على ما يلي:ي
.إصدار رموز مطابقة الهوية بناًء على معيار سليم للتحقق من كينونة الفرد
.أن تقاوم بقوة عمليات انتحال الهوية والتالعب والتزوير وأي استغالل
موحد للهوية.ويمكن االلتزام بهذه التوصيات بسهولة باستخدام نظام
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
المالحق
نموذج التوثيق اإللكتروني الملحق )أ(
حتوي نظام التوثيق اإللكتروني على المكونات التالية ويدعم هذه الوظائف.ي
مشغلو التوثيق(AO)
مزودو الخدمة(SP)
المستخدمون
تسجيل المستخدم
إصدار وإدارة الرمز
إدراج المستخدم
التحقق من االعتماد
هيكل نظام التوثيق بصفة عامة إلى النماذج الثالثة التالية: ويمكن تصنيف
Siloedمغلق .1
مركزي .2
موحد )نظام تسجيل أحادي( .3
-{}-SILOED
موحد مركزي مغلق
مزود الخدمة
مشغل التوثيق
مزود الخدمة
مزود الخدمة مشغل التوثيق
متسجيل المستخد
إصدار الرمز
إدراج المستخدم
عمليات التحقق من االعتماد
متسجيل المستخد
إصدار الرمز
إدراج المستخدم
عمليات التحقق من االعتماد
متسجيل المستخد
إصدار الرمز
إدراج المستخدم
عمليات التحقق من االعتماد
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
نماذج التوثيق اإللكتروني :4جدول
Siloed المغلقنموذج ال
يمثل هذا النموذج آليات التوثيق الحالية المستخدمة في شريحة األجهزة الكبرى في الدولة في قطر.ويتم تقديم كافة ويتعاقد كل جهاز من أجهزة الدولة مع مزود الخدمة بشكل مستقل بغرض الوظائف المركبة من قبل مزود الخدمة.
ج عن ذلك امتالك الفرد الواحد )المستخدم( عدة رموز توثيق في وقد نت شراء وإنشاء آليات توثيق داخلية خاصة. صورة رمز لكل جهاز يتعامل معه الفرد.
التوثيق، فإنه يؤدي في النهاية إلى عملية مبسطة إلنجاز المعاملة، لمشغليوحيث أن هذا النموذج يلغي الحاجة ة تحتية داخلية سوف تتطلب إنفاق رأس مال أولي ومع ذلك، فإن الحاجة لبني باإلضافة إلى سرعة إنجاز المعامالت.
كبير، هذا باإلضافة إلى تكاليف الصيانة المستمرة، وهو ما قد يثبت أنه عائق أمام إتاحة الدخول للجميع، باستثناء وال يستفيد هذا النموذج من اقتصادات الحجم التي يمكن تبادلها مع الشركاء والنظراء. المؤسسات الكبيرة جدًا.
النموذج المركزي
بعد ذلك يتم إدراج بيانات يستهدف هذا النموذج المستخدم الذي يسجل مع مشغل توثيق لتقديم معرف موحد ورمز.وعندما يطلب المستخدم خدمة، يقدم المستخدم اعتماد المستخدم )المعرف والرمز الموحد( لدى كل مزود خدمة.
لك إعادة توجيهها إلى مشغل التوثيق للتحقق منها.بيانات اعتماده إلى مزود الخدمة؛ ويتم بعد ذ
وحيث أن خدمات التوثيق مسندة إلى جهة خارجية، ال يحتاج مزودو الخدمة إلى تحمل التكاليف المتعلقة بصيانة وتقل التكاليف التي يتحملها كل من مزود الخدمة والفرد بسبب المشاركة في البنية التحتية. األنظمة الداخلية لديهم.
وتشمل المخاوف المتعلقة بهذا النموذج احتمالية ظهور نقطة كما يتاح للفرد أيضًا أن يختار عامل وطريقة التوثيق.عطل مفردة، وزيادة وقت العملية، وقضايا تتعلق بالخصوصية وتنشأ عن تسجيل معرف موحد لدى جميع مزودي
الخدمة.
النموذج الموحد )نظام التسجيل األحادي(
وتقتصر مسؤولية مشغل نموذج الموحد عن النموذج المركزي من ناحية عدم اشتراط وجود معرف موحد.يختلف الويقوم المستخدم بإدراج الرمز المصدر لدى مزود الخدمة؛ ويتم ربط الرمز التوثيق على إصدار الرمز فحسب.
وفي كل مرة يطلب فيها وخصائصه بالمعرف الخاص بالمستخدم لدى مزود الخدمة، وينتج االعتماد عن ذلك.ويقوم مزود الخدمة بدوره بطلب تحقق المستخدم خدمة، يقوم المستخدم بعرض بيانات اعتماده إلى مزود الخدمة.
ويتم نقل التحقق اإليجابي إلى مزود الخدمة من مشغل التوثيق في منفصل من الرمز المرفق من مشغل التوثيق. صورة تأكيد.
الذي ينعكس في صورة راحة أكثر للمستخدم حيث ال (SSO)لنظام التسجيل األحادي وتخدم هذه اآللية كأساسيتطلب األمر سوى عملية توثيق واحدة للوصول إلى عدة مزودي خدمة، وذلك على أساس افتراض أن جميع مزودي
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
صية للمستهلك.ويقدم النموذج الموحد درجة إضافية من الخصو الخدمة المعنيين لهم عالقة بنفس مشغل التوثيق.
فليس هناك معرف موحد كما هو الحال في النموذج المركزي، مما ينتج عنه انخفاض مخاطر ربط المحتوى من ومن المتوقع أن يكون الوقت األولي للعملية أطول نتيجة للتعقيد الكبير مزودي خدمة مختلفين بنفس المستخدم.
يد سيحظى بتعزيز أفضل بصورة عامة.لتشغيل نظام التسجيل األحادي؛ ولكن األداء والتوك
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
اإللكتروني التوثيق لرمز المختلفة األنواع الملحق )ب(:
لرمز عبارة عن شيء يمتلكه الطالب )المستخدم(ويتحكم فيه، ويستخدم لتوثيق هوية الطالب.ويقدم الرمز إلى الطالب ا )المستخدم( بغرض التوثيق اإللكتروني.
باإلضافة ولكل رمز منها نقاط قوة ونقاط ضعف. يمكن استخدامها للتوثيق اإللكتروني.فيما يلي بعض الرموز التي إلى ذلك، فإن الرمز قابل للعطل أو التلف أو التالعب سواًء عن قصد أو بدون قصد.
ويتعين على الجهاز/ الجهة التي تصدر الرمز أن تأخذ الخطوات الالزمة لضمان صالحية الرمز طوال دورة حياته.
الرمز السري المشترك
الرمز المشترك عبارة عن مجموعة رموز )حروف وأرقام ورموز خاصة مستخدمة في تراكيب مختلفة( أو مجموعة ويعبر عن أي تعديل رسائل وإجابات محددة سلفًا )معلومات مشتركة( يتفق عليها بين الطالب )المستخدم( والمصدر.
والتي تعتمد على المعلومات المتعلقة بالعالقة ت المشتركة الخاصة بالسياقبالمعلوماطفيف في المعلومات المشتركة بين الطرف موثق الهوية والطالب )المستخدم(
والرسائل واإلجابات المشتركة. (PIN)وتشمل هذه األنواع من الرموز كلمات المرور ورقم الهوية الشخصية
رمز البحث
ويتألف رمز البحث المرور التي تستخدم لمرة واحدة إلتمام عمليات.رمز البحث عبارة عن شكل من أشكال كلمات ويقدم الطالب )المستخدم( رمزًا يقدمها المدقق للطالب )المستخدم(. الرموز المشتركةمن قائمة أو قاعدة بيانات من
غير مستخدم من هذه القائمة أو قاعدة البيانات بناًء على طلب المدقق.
( بعد التوثيق التقليدي الذي يعتمد على عامل مزدوجموز البحث كدرجة ثانية من التوثيق )وبصفة عامة، تستخدم ر .(TAN)ويشمل هذا النوع من الرموز دفاتر الرموز وبطاقات توثيق العمليات كلمة المرور الواحدة.
الرمز خارج النطاق
؛ وسيلة اتصال ثانوية محددة مسبقاً الرمز خارج النطاق عبارة عن سر يرسل من المدقق إلى المستخدم عن طريقويشمل هذا االتصال خارج النطاق القنوات ويقوم المستخدم بعد ذلك بتقديم ذلك السر في القناة الرئيسية للتوثيق.
والرسائل النصية القصيرة على الهواتف النقالة، ورسائل البريد (IVR)الصوتية الهاتفية واالتصاالت الهاتفية التفاعلية تروني...الخ. كما تشمل أشكال االتصال خارج النطاق رد النداء على مصدر مسجل مسبقًا مثل عنوان اإللك
أو أرقام الهواتف...الخ. (IP)بروتوكول اإلنترنت
رمز كلمة المرور لمرة واحدة لكل حالة
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
ومن لعملية واحدة فقط.رمز كلمة المرور التي تستخدم لمرة واحدة عبارة عن كلمة مرور تصلح لجلسة دخول أو الصعب على اإلنسان أن يتذكر كلمات المرور التي تستخدم لمرة واحدة، وبالتالي تتطلب هذه الرموز تكنولوجيا
إن جهاز كلمة المرور لمرة واحدة عبارة عن جهاز يعرض كلمة مرور تستخدم لمرة واحدة إضافية حتى تعمل.وقد تتطلب أجهزة كلمات المرور التي تستخدم مصدر االعتماد. وتحسب داخل الجهاز على أساس سر مشترك مع
لتنشيط الجهاز إلنشاء كلمة مرور تستخدم لمرة واحدة، على الرغم من (PIN)لمرة واحدة تقديم رقم تعريف شخصي أن ذلك قد ال يكون ضروريًا في كل مرة.
الرمز المشفر
غير متماثل يخزن في أجهزة أو برامج أو ينشأ فيها.الرمز المشفر عبارة عن رمز متصل ومشفر متماثل أو
ويقوم المدقق بدوره بتشفير على سبيل المثال، يستخدم رمز مشفر لتشفير اعتراض صادر من المدقق ويقدم الرد.الرد، وإذا كان يتفق مع االعتراض الذي أصدره في األصل، فإنه يقوم بتفعيل توثيق الطالب )المستخدم( حيث أن
المستخدم وحده هو الذي سيكون لديه الرمز الصحيح لتشفير االعتراض في المقام األول.
رمز البيانات الشخصية
رمز البيانات الشخصية عبارة عن سمة فسيولوجية أو سلوكية مميزة تقدم للتحقق بالرجوع إلى قاعدة بيانات لتلك لمدقق.السمات، ويتم إدارة وصيانة قاعدة البيانات تلك من قبل ا
ومثال ذلك فحص شبكية العين أو قزحية العين أو بصمة اإلصبع أو الصوت...الخ
الرمز الهجين
الرمز الهجين ليس رمزًا في حد ذاته، ولكنه يشير إلى استخدام رمزين أو أكثر معًا لرفع مستوى قوة عملية التوثيق.
عوامل.التوثيق متعدد الويشار إلى هذا النوع من الرموز أيضًا باسم
ومثال ذلك استخدام سر مشترك )كلمة مرور( أو رمز بيانات شخصية لفتح بطاقة ذكية تحتوي على الرمز المشفر الخاص بالمستخدم.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
إدارة المخاطر الملحق )ج(
د يحتوي النظام الخاص بأي جهاز من أجهزة الدولة على عدة فئات أو أنواع من العمليات، كما قد يمتد ذلك قإلى العديد من أجهزة الدولة؛ وقد تتطلب كافة تلك األجهزة اعتبارات أمنية مختلفة ضمن التقييم العام النظام
للمخاطر.
وقد وسوف يساعد برنامج رسمي إلدارة المخاطر على تحديد المخاطر المرتبطة بإدارة التوثيق اإللكتروني والحد منها. تشمل هذه المخاطر ما يلي:
انات االعتماد اإللكتروني المقدمة ترجع إلى الشخص الذي يدعي أنه هو ذلك الشخص هل بي :الهوية توثيق .1 أو تحدد هويته؟
هل تم تعديل المعلومات أثناء نقلها أو معالجتها؟ :البيانات سالمة .2
هل يمكن لجهاز الدولة ضمان استمرار سرية المعلومات أثناء تخزينها أو نقلها؟ :السرية .3
جهاز الدولة أن يثبت أن هوية ما قد قدمت أو اعتمدت أو أشرت على المعلومات هل يمكن ل :اإلنكار عدم .4 المستلمة؟
يجب أن تجري أجهزة الدولة تحلياًل شاماًل لكافة التهديدات الممكنة والتي تشمل عوامل مثل األعطال العامة تحقق التهديد، إال أنه ينصح وقد تصنف المخاطر العامة بأنها "منخفضة" بناًء على احتمالية والسلوك البشري.
إضافة كافة سيناريوهات التهديد المحتملة أثناء مرحلة التحليل.
من خطأ توثيق وظيفة عاملين هما: الناشئويعد الخطر
التأثير المحتمل .1
احتمالية التأثير .2
وتشمل الفئات الممكنة للتأثير ما يلي:
ضياع سمعة جهاز الدولة أو التأثير عليها .1
أثر مالي .2
ثير على برامج جهاز الدولة أو المصالح العامةتأ .3
اإلعالن عن معلومات حساسة دون موافقة .4
السالمة الشخصية .5
مخالفات مدنية أو جنائية/ تأثير قانوني .6
الخطوة التالية هي تحديد األثر المحتمل ألخطاء التوثيق
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
مستويات الشدة الفئة أثر حاد أثر كبير أثر متوسط أثر ضعيف غير مؤثر
ضياع أو تضرر سمعة جهاز الدولة/ وقوع إزعاج ألي طرف
ال يوجد تأثير/ ال يوجد إزعاج
ال يوجد تأثير/ يوجد إزعاج
بسيط
أثر ضعيف: ضرر قصير المدى/ إزعاج
طفيف
ضرر محدود طويل المدى/
إزعاج مؤثر
إزعاج حاد أو خطير طويل المدى، إرباك لكافة أو بعض
األطراف المعنيةخسارة بسيطة ال توجد خسائر أثر مالي
%2أقل من من الموازنة الشهرية للجهاز
خسارة طفيفة ما إلى %2بين
%5أقل من من الموازنة
الشهرية للجهاز
خسارة متوسطة %5ما بين
إلى أقل من من 10%
الموازنة الشهرية للجهاز
خسارة كبيرة تزيد من %10عن
الموازنة الشهرية للجهاز
ضرر لبرامج جهاز الدولة أو المصالح العامة
تعطل نشاط ال يوجد تهديد ال يوجد تهديدالجهاز أو الخدمة التي يقدمها على نحو
تأثير طفيف.الخدمات على
المستخدمين الداخليين،
وبطريقة بسيطة على العمالء
الخارجيين للجهاز.
تعطل نشاط الجهاز أو الخدمة التي يقدمها على
نحو متوسط.
لخدمات تأثير اعلى العمالء
الخارجيين لجهاز بطريقة
رئيسية.
تعطل نشاط الجهاز أو الخدمة التي يقدمها على
تأثير نحو حاد.الخدمات على األجهزة األخرى
للدولة وخدماتها
اإلعالن عن معلومات
حساسة دون موافقة
سيكون له ال يوجد تأثير تأثير بسيط
تأثير قابل للقياس، إخالل باللوائح أو بااللتزام بالحفاظ
اإلفصاح عن المعلومات
سيكون له أثر كبير.
سيكون له نتائج خطيرة على الشخص أو
الجهاز أو النشاط.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
على السريةالسالمة الشخصية
ال يوجد ال يوجد مخاطر مخاطر
خطر طفيف بحدوث إصابة ال تتطلب
عالجًا طبياً
خطر متوسط بوقوع إصابة طفيفة أو خطر محدود بوقوع إصابة تتطلب
عالجًا طبياً
خطر مرتفع بوقوع إصابة خطيرة أو
وفاة
مخالفات مدنية أو جنائية/ تأثير
قانوني
لن تساعد في الكشف عن نشاط غير قانوني أو تعوق الكشف
عنه.
لن تساعد في الكشف عن نشاط غير قانوني أو تعوق الكشف
عنه.
بالتحقيق تضر أو تسهل ارتكاب مخالفات سوف تخضع
لجهود تنفيذ.
تعوق التحقيق أو تسهل ارتكاب جرائم
خطرة.
تمنع إجراء التحقيق أو تسمح بصورة مباشرة بارتكاب جريمة
خطيرة.
تقييم التأثير :5جدول
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
التوكيد الذي سيتم تطبيقه.كما أنه من الضروري أن نخطط الحتمالية وقوع هذه التأثيرات من أجل تحديد مستوى
ويوضح الجدول التالي تخطيط مرجعي للتأثيرات مقابل االحتمالية:
االحتمالية النتائج/ التأثيرات
أثر حاد أثر كبير أثر متوسط أثر ضعيف غير مؤثر أثر كبير أثر كبير أثر متوسط أثر منخفض ال شيء شبه مؤكد
أثر كبير كبير أثر أثر متوسط أثر منخفض ال شيء محتمل أثر كبير أثر متوسط أثر منخفض أثر بسيط ال شيء ممكن
أثر متوسط أثر متوسط أثر منخفض أثر بسيط ال شيء غير محتمل أثر متوسط أثر متوسط أثر منخفض أثر بسيط ال شيء نادر
التأثير مقابل االحتمالية )مستويات التوكيد المرجعية( :6جدول
المحتملة، يجب على جهاز الدولة أن يأخذ في االعتبار كافة النتائج المحتملة المباشرة وغير وعند تحليل المخاطر المباشرة ألي خلل في التوثيق، بما في ذلك إمكانية حدوث أكثر من خلل أو التأثير على عدة أشخاص.
ويجب على السياق. ويشمل تعريف التأثير المحتمل مسميات مثل "خطير" أو "طفيف"، ويعتمد معنى "طفيف" علىأجهزة الدولة أن تأخذ في االعتبار السياق وطبيعة األشخاص أو الكيانات المتأثرة لتقرر الحجم النسبي لتلك
التأثيرات.
إدارة المخاطر
(.5يجب تلخيص تقييمات المخاطر من حيث فئات التأثير المحتمل )جدول رقم
بناًء على التحليل الذي تقوم به.حدد مستوى شدة التأثير لفئة التأثير المعنية
.حدد احتمالية تحقق التأثير أو التهديد
(.6الوظيفة ستحدد لك مستوى المخاطر )جدول رقم
.اختر الحد األدنى لمستوى المخاطر الذي سيشمل كافة فئات التأثيرات أو التهديدات
.يؤدي مستوى المخاطر الذي يتم اختياره إلى تحديد مستوى التوكيد
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
مستوى التوكيد المخاطر
0المستوى ال يوجد
1المستوى بسيطة
2المستوى منخفضة
3المستوى متوسطة
4المستوى مرتفعة
(: تخطيط مستوى المخاطر تبعًا لمستوى التوكيد7الجدول )
التهديدات، إال أن وقد يكون حل التوثيق اإللكتروني الذي يتمتع بمستوى مرتفع من التوكيد إحدى طرق الحد من أجهزة الدولة يجب أن تأخذ األساليب البديلة إلدارة المخاطر بعين االعتبار أيضًا. وقد يكون ذلك في شكل تعزيز األمن في التطبيق، والحد تبادل المعلومات أو الكشف عنها، وتقييد بعض مجتمعات المستخدمين "المعرضة
للخطر"...الخ.لة تحليل المخاطر لضمان استيفاء االستراتيحيات الحالية ألمن المعلومات لمتطلباتها، كما يجب أن تكرر أجهزة الدو
وضمان فعالية الضوابط والوظائف المنفذة حسب المطلوب.ويتعين القيام بهذه اإلجراءات على فترات دورية إلدارة المشهد المتغير للتهديدات، وكذلك كلما تغيرت متطلبات
األعمال.
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
)د(: اإلطار القانونيالملحق قدم إطار التوثيق اإللكتروني في قطر ألجهزة الدولة نظرة عامة على المبادئ والعوامل التي يجب دراستها عند ي
تصميم حل التوثيق اإللكتروني. كما تحتاج أجهزة الدولة عند تطبيق هذه الوثيقة إلى دراسة العديد من التي قد يكون لها تأثير على مثل ذلك الحل.السياسات والتوجيهات والتشريعات الوطنية
فيما يلي بعض أبرز تلك السياسات والتوجيهات والتشريعات الوطنية:
المعلومات الحكومية تأمينسياسة -1
18سياسة تسجيل وتوثيق الخدمات اإللكترونية الحكومية الصادرة بموجب قرار مجلس الوزراء رقم -2 ة اإللكترونية.بشأن تنفيذ سياسات الحكوم 2010لسنة
.والتوقيع الرقمي قانون التجارة اإللكترونية -3
الشخصية. خصوصية البياناتحماية مقترح قانون -4
المعلوماتية الهامة.مقترح قانون حماية البنية التحتية -5
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
الموحدة لهويةللمطابقة احالة الملحق )ه(: مىوارد هامىة بسىهولة أكثىر مىن ذي قبىل. فشىبكة اإلنترنىت صبح بإمكان األفراد والشركات اليوم التواصل والوصول إلىى أ
تتيح للمستخدمين االتصال المباشر بالبضائع والخدمات والمعلومات، في الوقت الذي تتىيح فيىه للشىركات التواصىل مىع عمالئها وموظفيها وشركائها في التجارة.
ات السىىرية علىىى شىىبكة اإلنترنىىت. ويقىىوم جميىىع وتعىىد الهويىىة الرقميىىة عنصىىرًا هامىىًا فىىي نمىىو البيانىىات الحساسىىة والعالقىى
المسىىىتخدمين بإنشىىىاء هويىىىات رقميىىىة عنىىىدما يجوبىىىون الفضىىىاء اإللكترونىىىي. وفىىىي الوقىىىت نفسىىىه، تقىىىوم كىىىل شىىىركة بإنشىىىاء هويات من تزويد األفراد بوصول آمن للموارد والخدمات على شبكة اإلنترنت. وبدون الهويات الرقميىة، ال توجىد طريقىة
سىىتخدمين الوصىىول إلىىى بعىىض المىىوارد. وقىىد تشىىمل تلىىك المىىوارد كشىىف حسىىاب بنكىىي أو وضىىع شىىحن لمىىنح بعىىض الم طلبية أو دليل عناوين بريد إلكتروني لزمالء عمل أو شبكة داخلية لشركة، إلى غير ذلك مما ال يمكن حصره.
لفىىىىة وغيرهىىىىا مىىىىن والقاعىىىىدة هىىىىي وجىىىىود هويىىىىات متعىىىىددة. فىىىىاألفراد يسىىىىتخدمون أسىىىىماء مسىىىىتخدمين وكلمىىىىات مىىىىرور مخت
الخصائص المعرفة في مختلف السياقات على شبكة اإلنترنىت نظىرًا للقيىود العمليىة أو للرغبىة فىي إخفىاء هويىاتهم. فقىد يكون لنفس الشخص عىدة اتصىاالت بعىدة جهىات. كمىا قىد يكىون عميىل شىركة كيوتىل مسىتخدمًا لخىدمات وزارة الداخليىة
بىاء والمىاء. وحتىى داخىل نفىس الشىركة، غالبىًا مىا تظهىر البيانىات المرتبطىة وحساب لدى المؤسسىة العامىة القطريىة للكهر بنفس الشخص في عدة قواعد بيانات مختلفة، سواًء كان ذلك بحكم التصميم أو بشكل عرضي.
إن انتشىىىار الهويىىىات الرقميىىىة يخلىىىق تحىىىديات كبيىىىرة. فالمسىىىتخدمون يعىىىانون مشىىىكلة تىىىذكر أسىىىماء المسىىىتخدمين وكلمىىىات
عديدة. كما تجد جهات تكنولوجيىا المعلومىات صىعوبة متزايىدة فىي إدارة قواعىد بيانىات الهويىة الكبيىرة، حتىى مىع المرور الوجود الجدران النارية للشركات. وتزداد المشكلة سوًء عندما تنتشر الهويات خارج نطاق حىدود الجهىة المعنيىة، كمىا هىو
مىىىوارد شىىىركة مىىىا؛ ممىىىا يسىىىمح للمسىىىتخدمين بالوصىىىول إلىىىى الحىىىال عنىىىدما يىىىتم تزويىىىد الشىىىركاء بإمكانيىىىة الوصىىىول إلىىىى الخدمات اإللكترونيىة لشىركة مىا بقواعىد بيانىات متعىددة نظىرًا لعمليىات االسىتحواذ واإلرث. وعنىدما يأخىذ المسىتخدمون أو
الشركة طرقًا مختصرة، تكون النتيجة هي ارتفاع تكاليف اإلدارة وزيادة المخاطر األمنية.
؟حدةلماذا الهوية المو االتحاد عبارة عن طريقة موحدة تتيح ألجهزة الدولة تقديم الخدمات مباشرة للمستخدمين الموثىوقين الىذين ال تىديرهم تلىك الجهات بشكل مباشرة. ويتم منح الوصول لهويات من نطاق شىركة مىا )أو مىزود هويىة( إلىى خىدمات شىركة أخىرى )أو
مزود خدمة(. أحد دورين أو كالهما: دور مزود الهوية أو دور مزود الخدمة. وفي عملية االتحاد، تلعب الجهات
ألتوثيق اإللكتروني في قطرإطار
1.2 :اإلصدار
التصنيف: عام
ومزود الهوية هو الجهة الموثوقة والمسؤولة عن توثيق أي مستخدم نهائي وتأكيد هوية لذلك المسىتخدم بطريقىة موثوقىة لحسىاب بشىكل لشركاء موثوقين. كما أن مزود الهوية مسىؤول عىن إنشىاء الحسىاب وصىيانته وإدارة كلمىة المىرور وإدارة ا
عىىام. ويمكىىن أن يىىتم ذلىىك بآليىىات وأدوات أمنيىىة قائمىىة مقبولىىة داخليىىًا. وإذا أخىىذنا رخصىىة القيىىادة كمثىىال، تكىىون الحكومىىة هي مزود الهوية المسؤول عن المصادقة على الهوية الحقيقية للمواطن.
ون كمىىىزودي هويىىىة باسىىىم مىىىزودي وُيعىىىرف الشىىىركاء الىىىذين يقىىىدمون الخىىىدمات أو يشىىىتركون فىىىي المىىىوارد ولكىىىنهم ال يعملىىى
الخدمة. ويعتمىد مىزود الخدمىة علىى مىزود الهويىة لتأكيىد المعلومىات الخاصىة بالمسىتخدم، ثىم يتىرك مىزود الخدمىة إلدارة مراقبة الوصول واالنتشار بناًء على مجموعات الخصائص الموثوقة هذه.
فوائد االتحاد
ل مىىن مشىىاركة وإدارة معلومىىات الهويىىة مىىع تحركهىىا بىىين النطاقىىات يضىىع االتحىىاد آليىىة تعتمىىد علىىى المعىىايير الموحىىدة لكىى األمنية والقانونية والخاصة بالجهات.
ويتىىيح االتحىىاد وسىىائل منخفضىىة التكلفىىة إلنشىىاء نطىىاق مشىىترك للىىدخول األحىىادي وكىىذلك معلومىىات موحىىدة بىىين مختلىىف األجهزة. هو ما يعرف باسم نظام تسجيل الدخول األحادي.
حىاد لألجهىزة األمنيىة إدارة عىدة نطاقىات أمنيىة بآليىة بسىيطة تتسىم بالفعاليىة لىربط الهويىات المتكىررة وإتاحىة كما يتىيح االت تسجيل الدخول األحادي بين النطاقات األمنية.
الخالصــة
في حين أن حلول إدارة الهوية المتوفرة اليوم قادرة على المساعدة في رفع مستوى األمن وتقليل أوجه القصور المرتبطة بإدارة المستخدمين الداخليين والوصول إلى المعلومات الداخلية، إال أن زيادة المستخدمين الذين يطلبون الوصول خارجة عن سيطرة أي جهاز واحد بعينه. وتتيح الهوية الموحدة ألجهزة الدولة أسلوبًا منفتح المعايير إلتاحة
ة.الوصول المتزايد للمعلومات عبر الحدود الفاصل
مالحظاتت وزارة أصدر ، بشأن تنفيذ سياسات الحكومة اإللكترونية 2010لسنة 18بناًء على قرار مجلس الوزراء رقم
التصاالت سياسة تسجيل وتوثيق الخدمات اإللكترونية الحكومية والتي تنص على توثيق كافة االمواصالت و ومدمجة )خدمات مدمجة( أو مجرد خدمات يمكن الوصول الخدمات اإللكترونية الحكومية سواًء كانت مستضافة
إليها )بشكل عابر( من خالل بوابة "حكومي" من خالل خدمات إدارة الهوية التي تقدمها بوابة حكومي.